Whitepaper - IT
Transcrição
Whitepaper - IT
WHITEPAPER SECURITY SICHERHEIT DURCH NETZWERKE – REALISIERBAR ODER MARKETING-GAG? Die Aufgabe eines Netzwerkes besteht darin, Daten zu transportieren. Genau mit dieser Intention wurden ursprünglich Netzwerke errichtet. Heute ist die Grundidee zwar dieselbe, die Netzwerke haben sich allerdings zu einem immer bedeutenderen Bestandteil der Unternehmenskommunikation entwickelt. Doch mit der Weiterentwicklung der Netzwerke haben sich auch die elektronischen Feinde mitentwickelt. Viren und Würmer können innerhalb von Stunden, manchmal sogar von Minuten, ganze Netze lahm legen. Neben diesen Schädlingen können aber auch Denial of Service Attacks (DoS) das Netz oder wichtige Server direkt zum Erliegen bringen. Der Trend entwickelt sich zurzeit verstärkt in Richtung intelligente und sichere Netze. Hierbei wird sogar von Netzwerken gesprochen, die in der Lage seien, sich selbst gegen Angriffe zu verteidigen. Im folgenden Text wird beleuchtet, inwieweit die Implementierung von IT-Security Mechanismen in das Netzwerk überhaupt realisierbar und sinnvoll ist. Daraus wird zudem eine Empfehlung für den Einsatz von IT-Security Komponenten abgeleitet. Aktuelle Sicherheitsbedrohungen Zunächst einmal soll erörtert werden, warum man sich überhaupt dem Thema IT-Security widmen soll. Da sind zum einen die „Klassiker“. Attacken und Angriffe aus dem Internet, aber auch aus dem internen Netz. Dazu zählen Viren, Würmer und Trojaner. Verteilt werden diese zumeist über E-Mails, jedoch zunehmend auch über den einfachen Aufruf von gefährlichen Webseiten. Auf diesen Webseiten verbirgt sich so genannter „Malicious Code“, also böswillige, heimtückische Programme. In der letzten Zeit sind verstärkt Angriffe dieser so genannten Spyware zu verzeichnen. Programme, die sich heimlich auf Computersystemen installieren und heimtückisch Inhalte, Passwörter etc. ausspionieren. In diese Angriffsklasse können auch Adware-Attacken eingeordnet werden. Die meisten Anwender finden diese plötzlich erscheinenden Werbeeinblendungen in Pop-Up Fenstern störend und zeitraubend. Darüber hinaus können sich darin zu allem Übel auch noch Würmer, Trojaner etc. verstecken. Seite 1 WHITEPAPER SECURITY Sicherheitsrisiken Viren E-Mail Attacken Spionage Web Angriffe Katastrophen Irrtümer Datendiebstahl Denial of Services Abbildung 1 Content-Security-Attacken spielen sich in den Inhalten der Datenpakete ab, die für Firewalls wie ganz gewöhnlicher http-Verkehr aussehen und deshalb durch die Zutrittskontrolle der Firewall in das interne Netz eintreten können. Neben diesen „berühmt, berüchtigten“ Attacken, welche zumeist mit dem Internet in Verbindung gebracht werden, existieren für Unternehmen jedoch auch zahlreiche Risiken aus dem internen Netz. Dies mag zum einen eine unbewusst ausgelöste Denial-of-Service-Attacke eines unbedarften Users sein, welche die Server zum Erliegen bringt. Es kann aber auch der gezielte Angriff eines unzufriedenen Mitarbeiters sein, der Firmengeheimnisse ausspioniert oder die Gehaltsdateien ausfindig machen möchte. All diese erwähnten Risiken sind den meisten Unternehmen im Prinzip bekannt. Trotzdem führt dies nicht dazu, dass jedes Unternehmen eine umfassende Schutzarchitektur implementiert. Die Einführung von IT-Security kostet natürlich Ressourcen an Geld und Mitarbeitern. In den Unternehmen wird deshalb oftmals die Frage nach dem Return on Security Investment (RoSI) gestellt. Zwei Tatsachen erscheinen an dieser Stelle als sicher zu gelten: Die Bedrohung durch Sicherheitsangriffe ist für jedes Unternehmen individuell. Während ein Unternehmen mit tausenden von SPAM-Mails am Tag bombardiert wird, ist dies für ein anderes Unternehmen überhaupt kein Thema. Selbstkritisch ist an dieser Stelle anzumerken, dass zahlreiche Anbieter von Sicherheitssystemen diese Bedrohungslage oftmals pauschalisieren und überzeichnen. Seite 2 WHITEPAPER SECURITY Es ist eine permanente Zunahme von Security-Vorfällen in den letzten Jahren zu verzeichnen. Die jährliche Steigerung liegt bei ca. 60%. Dabei ist eine Verschiebung der Angriffsarten ersichtlich. Klassische Virenattacken nehmen ab. Die Ausnutzung von verwundbaren Schwachstellen (Vulnerabilities) in Systemen und Programmen nimmt hingegen zu. Zu allem Übel werden diese neuen Arten von Attacken immer komplexer und ausgefeilter. Dementsprechend gilt es intelligente Abwehrmechanismen zu entwickeln. Quelle: CERT Abbildung 2 Erwähnt werden soll noch, dass es neben dem eigentlichen Zweck, das Unternehmen gegen Angriffe zu schützen auch noch rechtliche und regulatorische Anforderungen an die Unternehmen und deren Vorstände und Geschäftsführer gibt, geeignete Sicherheitsmaßnahmen zu implementieren. Hierzu zählen das KonTraG, § 9 des BDSG und die Richtlinien nach Basel II. Zunächst nur für in den USA börsennotierte Unternehmen hat der Sarbanes-Oxley-Act ein starkes Gewicht erhalten. Stets ist es dabei für die Unternehmen notwendig, ein angemessenes Risikomanagement zu implementieren. Die Frage nach dem RoSI stellt sich dabei nicht, wenn ein Geschäftsführer bei Vernachlässigung der IT-Security damit seine Sorgfaltspflichten verletzt. Seite 3 WHITEPAPER SECURITY Erläuterung der Schutzarchitektur Welche Maßnahmen sind erforderlich, um Unternehmen gegen die erwähnten Bedrohungen umfassend abzusichern? Die generellen Aufgaben von IT-Security sind dabei die Wahrung der Verfügbarkeit Vertraulichkeit Integrität Authentizität von Informationen Diese vier prinzipiellen Aufgaben sind bei der Datenübertragung gegen Attacken auf allen sieben OSI-Layern zu erfüllen. Eine Klassifizierung dieser Risiken ist in Abbildung 3 dargestellt. Gegen Attacken auf diesen sieben „technischen“ Layern können geeignete Schutztechnologien entwickelt und in Produkten umgesetzt werden. Enorm wichtig für eine funktionierende Schutzarchitektur ist darüber hinaus die Einbeziehung der Anwender. Zu diesem „social engineering“ gehört eine klare Security-Richtlinie, Anwender-Schulungen und Einführung von Prozessen in der Unternehmensorganisation. Klassifizierung von Risiken „social engineering“, mangelnde Schulung Content Security Risks Malware, Phishing, Spyware, ... Würmer, Hacking, ... Spoofing, DoS, ... Sniffing, Spoofing, ... Phreaking, Breaking, ... (Natur)Katastrophen, mangelhaftes Management, fehlende Betriebsorganisation 8 Anwender 0 Infrastruktur und Organisation (das größte Virus ?) Abbildung 3 Seite 4 WHITEPAPER SECURITY Für eine umfassende Schutzarchitektur auf technischer Ebene sind folgende fünf Bestandteile notwendig: Firewall Intrusion Detection Content Security Authentication Encryption Zusammengeführt werden diese Bestandteile durch ein Security Management, zu welchem auch Directory Services bzw. eine Public Key Infrastructure (PKI) gehören. Erst alle diese Bausteine zusammen ergeben eine umfassende Schutzarchitektur, welche nach heutigem Stand „state-of-the-art“ ist. Implementierung der Mechanismen im Netzwerk Soll nun die Frage beantwortet werden, ob eine Sicherheit durch Netzwerke realisierbar ist, so ist zu überprüfen, inwieweit die oben erwähnten 5 (fünf) Bestandteile der Schutzarchitektur durch das Netzwerk erbracht werden können. Streng genommen dürften demnach nur Technologien bis zur OSI-Ebene 3 (Network Layer) oder maximal bis zur Ebene 4 (Transport Layer) berücksichtigt werden. Zum Einsatz kommen dann Filter, Access Control Lists (ACL), 802.1x und Verschlüsselung bis zum OSI-Layer 4. Gehen wir jedoch davon aus, dass auch Verfahren zur Signatur- oder Anomalie-Erkennung, sowie Application Layer Firewalls in Netzwerk-Komponenten integriert werden können. Im Folgenden wird die Implementierung dieser Verfahren im Netzwerk dargestellt. Zunächst kann festgestellt werden, dass eine Integration von Firewalls in die Netzwerkkomponenten technisch realisierbar ist. Switches und Router mit integrierten Firewalls existieren bereits. Der Einsatz insbesondere in Switches im internen Netzwerk hat zudem den Vorteil, dass die Switching-Komponenten sämtlichen Datenverkehr „sehen“. Da „state-of-the-art” Switches über große Rechenleistung verfügen, sind diese heute in der Lage, neben dem Wirespeed Switching und Routing auch weitere Applikationen, wie z.B. Firewalls ohne Leistungseinbußen auszuführen. Die Integration von Firewalls im internen Netzwerk erlaubt ebenfalls eine schnelle, kostengünstige Netzwerk-Segmentierung. Kritische Server-Systeme und Anwendungen Seite 5 WHITEPAPER SECURITY können durch Firewalls vor Einbruchs-Attacken geschützt werden. Durch die Verbreitung von Ethernet und IP werden auch bislang separate Produktionsnetze integriert. Neue Komponenten, wie z.B. Roboter, Steuerungen oder Sensoren werden an das bestehende Netz angekoppelt. Zum Schutz dieser kritischen Produktionsnetze empfiehlt sich in jedem Falle eine Abgrenzung durch Firewalls. Abbildung 4 Auch der zweite Bestandteil - Intrusion Detection – kann mittels Integration in NetzwerkProdukten hervorragend abgedeckt werden. Sämtlicher Datenverkehr in Router bzw. Switches kann auf Signaturen und Anomalien getestet werden. Lediglich separate Intrusion Scanner auf Server-Systemen könnten weiterhin Sinn machen. Der dritte Baustein Content Security ist mit einem Fragezeichen zu versehen. Teilfunktionen können durch Switches mit abgedeckt werden. Stand heute sind jedoch spezielle Content Security Switches mit ICAP noch wesentlich leistungsfähiger. Sicherlich kann mit weiter steigender Leistung der Switching-Produkte hier von einer weiteren Integration von Content Security Features ausgegangen werden. Seite 6 WHITEPAPER SECURITY Sichere Authentication, beispielsweise durch Verwendung von Token basierten Verfahren, lassen sich hingegen nicht auf die Netzwerk-Ebene verlegen. Diese Verfahren sind Anwender bezogen und bei bestem Willen nicht in das Netzwerk zu integrieren. Auch ein zentraler Authentication Dienst wird wohl stets auf einem Server-System implementiert werden. Der fünfte Bestandteil Encryption, als eine VPN-Verbindung von mehreren Unternehmensstandorten durch Integration in die jeweiligen Zugangsrouter und einem zentralen VPN-Gateway ist bereits in das Netzwerk integriert. Eine tatsächliche Ende-zuEnde-Verschlüsselung ist nur unter Einbeziehung der entsprechenden Endsysteme möglich. Und auch hier scheitert naturgemäß der Ansatz, diese Funktion in das Netzwerk zu integrieren. Zusammenfassend lässt sich feststellen, dass es durchaus möglich ist, sowohl theoretisch als auch praktisch, einige Bestandteile der IT-Security-Architektur in das Netzwerk zu integrieren. Dies ist im Falle der Firewalls sogar die bevorzugte Variante. Sicherheit durch Netzwerke ist damit zumindest teilweise realisierbar. Vorteile und Nachteile sind in Abbildung 5 dargestellt. In das Reich der Marketing-Sagen gehört, dass das Netzwerk in der Lage ist, sämtliche Attacken zu erkennen. Sicherheit durch Netzwerke?! Der Trend geht zur Netzwerk-Sicherheit! Warum? Nachteile Vorteile • • • • • • Switches / Router sehen sämtlichen Datenverkehr Switches werden leistungsfähiger & preiswerter. Wirespeed kann fast jeder, und dann ist noch viel „Luft“. Netzwerksegmentierung einfacher durch Switch-Integration umfassendes, einfacheres Redundanzkonzept einheitliches, durchgehendes Konzept kostengünstiger • • • • fehlende Standards derzeit herstellerproprietär separate Appliances sind auf gewisse Security-Aufgaben besser spezialisiert Marketing schürt überzogene Erwartungshaltung, insbesondere was die Verwaltung und Einfachheit anbelangt Abbildung 5 Seite 7 WHITEPAPER SECURITY Empfehlung für den Einsatz von Netzwerk-Sicherheit Festzuhalten ist, dass Security-Bedrohungen sehr individuell wirken. Als erster Schritt gilt deshalb festzustellen, was an Sicherheitsmechanismen tatsächlich benötigt wird. Wo sind die „Kronjuwelen“ in Unternehmen und welchen Preis haben diese? Es gilt dann, das optimale Verhältnis zwischen dem bestmöglichen Maß an Sicherheit und den Kosten zu finden. Genau an dieser Stelle positioniert sich D-Link mit seinen Security-Lösungen. Die drei brandneuen Firewall-Systeme DFL-800, DFL-1600 und DFL-2500 bieten „state-of-the-art“ Features zu einem optimalen Preis/Leistungsverhältnis. Insbesondere mittelständische Unternehmen profitieren davon, sichere und preiswerte Netzwerk-Segmentierungen durchführen zu können. Der Firewall-Schutz von wichtigen Servern, Segmenten, bis hin zu ganzen Produktionsnetzen ist mit der DFL-Serie möglich. Dabei gestatten die Produkte auch den verschlüsselten Aufbau von VPN-Anbindungen mehrerer Standorte und Nutzer. Dies bedeutet eine Investitionssicherheit für die Anwender. Selbst netzwerk-basierende Intrusion Detection Lösungen sind damit umsetzbar. Dies geschieht mittels Signaturen, welche durch eine spezielle D-Link Security-Webseite kontinuierlich aktualisiert werden. Damit erhalten die Anwender Schutzfunktionen vor Viren, Würmern, Trojanern etc. die bislang in dieser Qualität nur teuren Speziallösungen vorbehalten waren. Weitere Content Security-Features blocken gefährliche Instant Messaging Anwendungen, über welche zumeist unbemerkt „Malicious Code“ auf den Rechnern installiert wird. Sicherheit durch Netzwerke bedeutet auch, dass es ein Zusammenspiel zwischen den Security-Komponenten und den Switches/Routern geben sollte. Diese Symbiose setzt D-Link mit seinem Zone Defense Konzept um. Das Konzept basiert auf einem Zusammenspiel zwischen der Firewall und den xStackSwitches von D-Link. Ungewöhnliches Netzwerkverhalten wird durch die DFL-Firewalls erkannt und führt dazu, dass sofort verdächtige Ports bzw. infizierte PCs vom Netz getrennt werden, damit diese keinen weiteren Schaden anrichten können. Das passiert, indem die Switches automatisch von der Firewall das Kommando erhalten, den infizierten Switch-Port zu Seite 8 WHITEPAPER SECURITY deaktivieren. Um die Ports abzuschalten, bedient man sich standardisierter 802.1xKommandos. In diesen zusätzlichen Sicherheitsfunktionen liegt ein riesengroßer Vorteil dieser neuen Netzgeneration. Durch solche modernen, intelligenten und sicheren Netze bleiben die Schäden der elektronischen Feinde begrenzt. Die DFL-Security-Lösungen von D-Link bringen Sie dabei Ihrem Ziel eines sicheren Netzes zu vernünftigen Preisen einen großen Schritt näher. Seite 9